在我的Apache服务器上configurationSSL和证书时,我遇到了像.com.pt.这样的.com.pt.域名.com.pt.
如果我要求获得www.xpto.com域名的证书,它将发布为www.xpto.com和xpto.com 。
如果我要求申请www.xpto.com.pt的证书,它只适用于www.xpto.com.pt但不适用于xpto.com.pt (由xpto.com.pt颁发)
有这个技术的理由吗?
是。 对于外行来说,让我们把它分解成几个小部分:
当您请求带有服务器authentication扩展的标准x509证书(通常称为SSL证书)时,您必须提供一个使用者名称(SN)。 该SN必须与用户input的证书相匹配,而不需要警告消息。
从技术上讲,证书只适用于您提供给CA的确切SN。 因此,如果您要求www.example.com那么它只适用于该域名,它不适用于example.com或www.example.com以外的任何域名。
但是,许多网站也在替代域名上工作。 默认域名是正常工作的。 所以在www.example.com的例子中 www是一个主机名, example.com是一个域名。 该证书已被请求并颁发给www.example.com ,并且如前一段所述,这与example.com不匹配(因为example.com正在请求域example.com的默认主机(A)logging;它应该很明显,主机www和默认主机在DNS意义上是不一样的,甚至不一定要是同一个网站)。
大多数人在两个主机名上都有相同的网站。 更多的用户希望他们可以键入任何名称,正确的网站将出现。 因为这个,大多数CA不会签发你所要求的证书 。 他们实际上发放了一个证书(如上所述),其中还包含一个主题备用名称(SAN;顾名思义,它提供了用户可以input的备用名称以及不需要警告信息就可以接受的名称) 。 这通常只在您请求第二级域名(例如example.com )时才有效,而且他们通常忽略www作为第三级域名(例如www.example.com成为证书用途的example.com )。
通常,当您申请example.com或www.example.com的证书时,您实际上获得了example.com的SN和www.example.com的SAN的证书。 顶级域名通常可以是任何东西。
但是,如果您要求具有更具体名称的证书,例如您的示例(来自问题),其中有4个级别 (或更多)的域名,则不包括此备用名称。
你可以特别要求一个。 有时候只需要问他们,他们就可以免费发放。 其他时候,你必须申请一个UCC或多个SAN证书(同样的事情,不同的名字)。 通配证书也可以工作,虽然它们往往更昂贵,并且通常需要更高程度的购买者authentication。